Uma vulnerabilidade crítica no plugin WPvivid Backup & Migration para WordPress, presente em mais de 900 mil sites, permite a execução remota de código por meio do upload de arquivos arbitrários, sem necessidade de autenticação.
Classificada como
CVE-2026-1357
, a falha recebeu uma pontuação de severidade 9,8 e afeta todas as versões do plugin até a 0.9.123.
Se explorada, pode comprometer totalmente o site vulnerável.
Apesar da gravidade, pesquisadores da empresa de segurança WordPress Defiant destacam que o impacto crítico ocorre apenas em sites que ativaram a opção não padrão “receive backup from another site” (receber backup de outro site).
Além disso, os atacantes dispõem de uma janela de exploração limitada a 24 horas, período em que a chave gerada para o envio de backups permanece válida.
Essa limitação reduz a exposição real, mas, como o plugin é amplamente usado para migração e transferência de backups entre hosts, é comum que administradores habilitem essa função em algum momento, mesmo que temporariamente.
A vulnerabilidade foi reportada por Lucas Montes (NiRoX) à Defiant em 12 de janeiro.
A raiz do problema está no tratamento inadequado de erros durante a descriptografia RSA, combinado com a falta de sanitização nos nomes dos arquivos enviados.
Mais especificamente, quando a função ‘openssl_private_decrypt()’ falha, o plugin não interrompe a execução e passa o resultado falso para a rotina AES (Rijndael).
A biblioteca criptográfica interpreta isso como uma string de bytes nulos, gerando uma chave previsível que permite ao atacante criar payloads maliciosos aceitos pelo plugin.
Além disso, a ausência de sanitização nos nomes dos arquivos permitiu um ataque do tipo directory traversal, possibilitando a gravação de arquivos fora do diretório de backup e o upload de arquivos PHP maliciosos capazes de executar código remotamente.
Após a validação do exploit proof-of-concept, a Defiant notificou o desenvolvedor WPVividPlugins em 22 de janeiro.
A correção para a vulnerabilidade foi lançada na versão 0.9.124, em 28 de janeiro.
A atualização inclui verificações que interrompem a execução caso a descriptografia RSA falhe, sanitização adequada dos nomes dos arquivos e restrição dos tipos permitidos para upload, como ZIP, GZ, TAR e SQL.
Usuários do plugin WPvivid Backup & Migration devem atualizar para a versão 0.9.124 o quanto antes para proteger suas instalações.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...